Probleme mit der LSA-Shell

[Achim_1 10]

Ich habe seit ein paar Wochen Probleme mit meinem w2k3 Webserver. Das Verhalten ist so, dass unsere Webseiten nicht mehr erreichbar sind. Den Rechner kann ich zwar noch Pingen ist aber sonst nicht mehr zu erreichen, auch ist keine Anmeldung mehr möglich.

 

Wenn ich dann einen Kaltstart gemacht habe, bekomme ich nach der Anmeldung die Fehlermeldungen "LSA-Shell hat einen Fehler ermittelt und musste beendet werden". Die Fehlermeldungen finden sich dann natürlich auch in der Ereignissanzeige wieder.

 

Der Rechner liegt hinter einer NetScreen 25 und eine ISVW von TrendMicro, und lief ca. 6 Monate völlig unauffällig.

 

Was kann das sein .... und viel wichtiger, wie bekomme ich wieder einen stabile Rechner?

[7-Club 10]

Hallo Achim_1,

also soweit ich weiß, hängt die LSA-Shell mit der lsass.exe zusammen und ist für die Anmeldung an das Netzwerk zuständig.

Prozess Name: Lokaler Sicherheitsdienst

 

Produkt: Windows

 

Firma: Microsoft

 

Datei: lsass.exe

 

Sicherheits-Bewertung:

 

"lsass.exe" ist der lokale Sicherheitsdienst. Er überprüft die Gültigkeit der Benutzeranmeldungen und Zugriffsrechte für Ihren PC. Mehr Infos

 

Wichtig: Die Datei "lsass.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei lsass.exe um einen Virus, Spyware, Trojaner oder Worm! Überprüfen Sie dieses z.B. mit Security Task Manager.

 

Viren mit gleichem Namen:

W32.Nimos.Worm - Symantec Corporation

W32.Sasser.E.Worm (Lsasss.exe) - McAfee

W32.HLLW.Lovgate.C@mm - Symantec Corporation

 

Schon mal geprüft ob eine Anmeldung als Lokaler Admin im abgesicherten Modus möglich ist. Und wenn ja dann mal einen Virenscann durchlaufen lassen.

[Achim_1 10]

Danke für den Tip 7-Club,

 

kennt jemand einen freien Virenscanner mit dem ich eine BootCD erstellen kann und der NTFS Filesysteme bearbeiten kann.

[7-Club 10]

Hallo Achim_1,

 

versuche es mal mit dem McAfee Stinger. Ist Freeware und verwende ich z.Bsp. bei meiner Windows PE CD. Kannst du auch direkt über Internet dann updaten auch wenn du von CD startest, sobald du ein viruelles Laufwerk hasz zum zwischenlagern.

Zu finden unter ZDNet als McAfee AVERT Stinger.

 

Beschreibung laut Hersteller:

Stinger ist eine Stand-Alone-Anwendung, die aktuelle und hyperaktive Viren wie MyDoom, Lovsan (Blaster), Dumaru, Sobig, Mimail, Klez, Elkern, Bugbear oder Yaha erkennt und aus dem System zu beseitigen. Dabei soll das Tool keineswegs ein aktuelles Antiviren-Programm ersetzen, sondern das System schlicht von den vorgenannten Übeltätern befreien.

 

Erkannt und gegebenenfalls beseitigt werden in der aktuellen Version: W32/Anig.worm, W32/Bagle, Exploit-DcomRpc, Exploit-LSASS, Exploit-MS04-011, IRC/Flood.ap, IRC/Flood.bi, IRC/Flood.cd, PWS-Narod, W32/Sdbot.worm.gen, BackDoor-JZ, BackDoor-ALI, BackDoor-AQJ, BackDoor-CFB, Backdoor-CHR, Downloader-DN.a, IPCScan, NTServiceLoader, PWS-Sincom.dll, W32/SQLSlammer.worm, W32/Blaster.worm, W32/Bropia.worm, W32/Bugbear@MM, W32/Deborm.worm.gen, W32/Dumaru, W32/Elkern.cav, W32/Fizzer.gen@MM, W32/FunLove, W32/Klez, W32/Lirva, W32/Lovgate, W32/Korgo.worm, W32/Mimail, W32/MoFei.worm, W32/Mumu.b.worm, W32/Doomjuice.worm, W32/Mydoom, W32/Nachi.worm, W32/Netsky, W32/Nimda, W32/Pate, W32/Sasser.worm, W32/SirCam@MM, W32/Sobig, W32/Sober, W32/Swen@MM, W32/Yaha@MM, W32/Zafi, W32/Zindos.worm, Bat/Mumu.worm.

 

Der McAfee Stinger kann direkt ohne Installation gestartet werden.